DE19928061C2

DE19928061C2 - Security module to monitor system security and procedures

Info

Publication number: DE19928061C2
Application number: DE19928061A
Authority: DE
Inventors: Stephan Guenther; Dirk Rosenau
Original assignee: Francotyp Postalia GmbH
Current assignee: Francotyp Postalia GmbH
Priority date: 1999-06-15
Filing date: 1999-06-15
Publication date: 2003-08-28
Anticipated expiration: 2019-06-16
Also published as: US6351220B1; EP1069492A3; DE19928061A1; EP1069492A2

Description

Die Erfindung betrifft ein Sicherheitsmodul zur Überwachung der Systemsicherheit, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art und für ein Verfahren zur Überwachung der Systemsicherheit gemäß der im Oberbegriff des Anspruchs 12 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere für den Einsatz in einer Frankiermaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbeitungsfunktion geeignet.The invention relates to a security module for monitoring the System security, according to the in the preamble of claim 1 specified type and for a procedure for monitoring the System security in accordance with the preamble of claim 12 specified type. Such a postal security module is especially for use in a franking machine or Mail processing machine or computer with mail processing function suitable.

Es sind vielfältige Sicherungsmaßnahmen zum Schutz gegen Ausfälle bzw. Störungen als auch zur Bereitstellung einer 100%igen Verfügbarkeit von intelligenten elektronischen Systemen bekannt. Beispielsweise werden Parallelrechnersysteme für extrem hohe Sicherheitsanforderungen (Flugverkehr etc.) eingesetzt, eher für low-level- Anwendungen werden z. B. gespeicherte Ergebnisse redundant ausge führt konzipiert, um so die Möglichkeit des Erkennens einer Fehlfunktion bzw. eines Ausfalls sowie ggf. auch die Möglichkeit zur Korrektur zu schaffen. Vielfach sind die einzelnen Sicherungsmaßnahmen sehr unter schiedlicher Natur (z. B. Kombinationen von Hard- und Software) und müs sen dem jeweiligen Erfordernis der (evtl. auch nur partiell erforderlichen) Sicherheit eines Systems angepaßt werden, was zu entsprechend vielen dedizierten Einzellösungen führt, die durch ihren individuellen Charakter hohe Design- und unter Umständen auch Realisierungskosten verursa chen.There are various security measures to protect against failures or malfunctions as well as to provide a 100% Known availability of intelligent electronic systems. For example, parallel computer systems for extremely high Security requirements (air traffic etc.) used, more for low-level Applications are e.g. B. saved results redundant leads designed around the possibility of detecting a malfunction or a failure and, if necessary, the possibility of correction create. In many cases, the individual security measures are very under of different nature (e.g. combinations of hardware and software) and must the respective requirement of (possibly also only partially necessary) Security of a system can be adjusted, resulting in correspondingly many dedicated individual solutions that lead through their individual character high design and possibly also implementation costs chen.

Für Frankiermaschinen ist aus dem EP 615211 B1 ein Verfahren zum Speichern sicherheitsrelevanter Daten bekannt, in welchem in redun danten Speicherbereichen gespeicherte gleiche Daten miteinander ver glichen werden, um fehlerhafte Daten festzustellen.For franking machines, EP 615211 B1 describes a method for Storage of security-relevant data known, in which in redun same data stored in memory areas be compared to determine incorrect data.

Es ist bereits aus EP 417 447 B1 bekannt, in elektronischen Datenver arbeitungsanlagen besondere Module einzusetzen und mit Mitteln zum Schutz vor einem Einbruch in ihre Elektronik auszustatten. Solche Module werden nachfolgend Sicherheitsmodule genannt.It is already known from EP 417 447 B1, in electronic data processing to use special modules and with means for Provide protection against a break-in in their electronics. Such modules are called security modules below.

Moderne Frankiermaschinen, oder andere Einrichtungen zum Frankieren von Postgut, sind mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, mit einer Abrechen einheit zum Abrechnen von Postgebühren, die in nichtflüchtigen Speichern gehalten werden, und einer Einheit zum kryptografischen Absichern der Postgebührendaten ausgestattet. Die Abrecheneinheit und/oder die Einheit zum Absichern des Druckens der Postgebühren daten kann von einem Sicherheitsmodul realisiert werden (EP 789 333 A2). Der Prozessor des Sicherheitsmoduls ist beispielsweise ein OTP (One Time Programmable), welcher sensible Daten, wie kryptografische Schlüssel, auslesesicher speichert. Eine Kapselung durch ein Sicherheitsgehäuse bietet einen weiteren Schutz.Modern franking machines, or other devices for franking from Postgut, are using a printer to print the postage stamp on the mail, with a control for controlling the printing and the peripheral components of the franking machine, with an accounting unit for billing postal charges in non-volatile Stores are kept, and a cryptographic unit Secure postage data. The accounting unit and / or the unit for securing the printing of the postage data can be implemented by a security module (EP 789 333 A2). The processor of the security module is an OTP, for example (One Time Programmable), which sensitive data, such as cryptographic Key that saves read-out. An encapsulation by a Security housing provides further protection.

Weitere Maßnahmen zum Schutz eines Sicherheitsmoduls vor einem Angriff auf die in ihm gespeicherten Daten wurden auch in den deutschen Anmeldungen mit älterem Zeitrang entsprechend den nachveröffentlichten Druckschriften DE 198 16 572 A1 mit dem Titel: "Anordnung für ein Sicherheitsmodul", DE 198 16 571 A1 mit dem Titel: "Anord nung für den Zugriffsschutz für Sicherheitsmodule", DE 199 12 780 A1 mit dem Titel: "Anordnung für ein Sicherheitsmodul" und DE 199 12 781 A1 mit dem Titel: "Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens" vorgeschlagen. Ein "Sicherheitsmodul mit Statussignalisierung" ist aus dem nach dem Anmeldetag des vorliegenden Patentes veröffentlichten deutschen Gebrauchsmuster entsprechend der DE 299 05 219 bekannt. Gerade ein steckbares Sicherheitsmodul kann in seinem Lebenszyklus verschiedene Zustände einnehmen. Es kann nun unterschieden werden, ob das Sicherheitsmodul funktioniert oder defekt ist. Auf die Nichtmanipulierbarkeit der hardwaremäßigen Abrechnung wird ohne weitere Kontrolle vertraut. Jede andere softwaregesteuerte Arbeits weise gilt nur mit den Originalprogrammen als fehlerfrei, welche deshalb vor einer Manipulation geschützt werden müssen.Further measures to protect a security module from one Attack on the data stored in it were also in the German applications with seniority in accordance with the subsequently published documents DE 198 16 572 A1 with the title: "Arrangement for a security module", DE 198 16 571 A1 with the title: "Anord for access protection for security modules ", DE 199 12 780 A1 with the title: "arrangement for a security module" and DE 199 12 781 A1 with the Title: "Procedure for protecting a security module and arrangement for Implementation of the procedure "proposed. A "security module with status signaling" is from the after the filing date of the present patent published German utility model known from DE 299 05 219. A pluggable security module in particular can assume different states in its life cycle. It can now a distinction is made between whether the safety module is working or defective is. The hardware billing cannot be manipulated familiar without further control. Any other software controlled work wise is only considered to be error-free with the original programs, which is why must be protected against manipulation.

Der Erfindung liegt die Aufgabe zugrunde, für ein Sicherheitsmodul eine maximale Sicherheit zu erzielen. Es soll ein Verfahren gefunden werden, welches mit minimalen Aufwänden eine maximale Sicherheit für definierbare Bereiche und Funktionen eines Systems ermöglicht, und welches universell, d. h. mit nur minimalem Anpassungsaufwand, auf unterschiedlichste elektronische Systeme angewendet werden kann. Das Verfahren soll beispielsweise in Frankiermaschinen Anwendung finden, für die besondere Sicherheitsforderungen gelten, da die geldwerten Abrechnungsdaten unmanipulierbar sein müssen.The invention has for its object a for a security module to achieve maximum security. A procedure is to be found which with maximum effort ensures maximum security for allows definable areas and functions of a system, and which universal, d. H. with minimal adjustment effort different electronic systems can be used. The The method is to be used, for example, in franking machines, for the special security requirements apply because the monetary values Billing data must be manipulable.

Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für eine Anordnung und mit den Merkmalen des Anspruchs 12 für ein Verfahren gelöst.The object is with the features of claim 1 for an arrangement and solved with the features of claim 12 for a method.

Durch eine zeitlich wiederholend überprüfte Integrität des Systems wird die Sicherheit des elektronischen Systems gewährleistet. Der modulare Aufbau des Sicherheitsverfahrens sieht eine zweistufige, überlappende Prüfung vor, d. h. wechselseitiger Austausch und simultane Verarbeitung von Daten zwischen zwei Mikroprozessoren, wobei grundsätzlich zwischen statischen und dynamischen Zuständen des Systems unter schieden wird. Die Validierung eines Systemzustands bei dynamischen Änderungen beruht auf der überlappenden Verarbeitung von mindestens Teilen des verwendeten Prüfpattern, Funktionsumfanges oder Speicher bereiches einzeln oder in Kombination miteinander.Through a time-tested, checked system integrity ensures the security of the electronic system. The modular Structure of the security process sees a two-stage, overlapping Testing before, d. H. mutual exchange and simultaneous processing of data between two microprocessors, being basically between static and dynamic states of the system will be divorced. The validation of a system state with dynamic Changes is based on the overlapping processing of at least Parts of the test pattern, range of functions or memory used area individually or in combination.

Ein Sicherheitsmodul für eine Datenverarbeitungsanlage, beispielsweise eine Frankiermaschine, nimmt deren Funktion, beispielsweise einer Ab rechnung der Postgebühren und/oder deren kryptografische Absicherung war. Das Sicherheitsmodul ist durch eigene Signalmittel gekennzeichnet, die bei direkter Ansteuerung vom Prozessor des Sicher heitsmoduls eine Aussage über den aktuellen Zustand des Sicherheits moduls gestatten. Die Signalisierung des Modulzustandes wird nur bei Versorgung des Sicherheitsmoduls mit Systemspannung aktiviert, um eine interne Batterie zu schonen. Der Prozessor kann auch die Arbeit der hardwaremäßigen Abrecheneinheit überwachen oder überprüfen. Es ist nicht beabsichtigt, die Abrechnung selbst auf Richtigkeit nachzuprüfen.A security module for a data processing system, for example a franking machine takes on its function, for example an Ab invoice for the postal charges and / or their cryptographic security was. The security module is through its own signaling means marked, when directly controlled by the processor of the Safe a module about the current state of security allow module. The signaling of the module status is only at Supply of the safety module with system voltage activated in order to conserve an internal battery. The processor can also do the work of Monitor or check the hardware accounting unit. It is does not intend to check the settlement itself for accuracy.

Auch kann durch einen "Pattern"vergleich der Gesamtheit aller Daten eines von einer Start- bis zu einer Zieladresse definierbaren Spei cherbereichs, keine Rückwärtsabbildung der Postregister erreicht werden, da die Prüfsummen über den gesamten sicherheitsrelevanten Speicher bereich gebildet werden. Denn es steht nicht die System-Verfügbarkeit im Vordergrund, sondern die sichere Erkennung von Fehlfunktionen oder Ausfällen sowie eine geeignete Reaktion darauf, wie es bei besonders sicherheitssensitiven, eher zeitunkritischen Vorgängen der Fall ist.A "pattern" can also compare all of the data a memory that can be defined from a start to a destination address area, no reverse mapping of the postal registers can be achieved, since the checksums over the entire safety-relevant memory area to be formed. Because it is not the system availability in the Foreground, but the reliable detection of malfunctions or Failures as well as an appropriate response to it, as is particularly the case security-sensitive, time-uncritical processes is the case.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet. Ein Ausführungsbeispiel der Erfindung wird in der nachstehenden Beschreibung anhand der Figuren näher erläutert. Es zeigen:Advantageous developments of the invention are in the subclaims characterized. An embodiment of the invention is shown in the following Description based on the Figures explained in more detail. Show it:

Fig. 1 perspektivische Ansicht der Frankiermaschine von hinten, Fig. 1 perspective view of the franking machine from the rear,

Fig. 2 Blockschaltbild des Sicherheitsmoduls, Fig. 2 Block diagram of the security module,

Fig. 3 Seitenansicht des Sicherheitsmoduls, Fig. 3 side view of the security module,

Fig. 4 Draufsicht auf das Sicherheitsmodul, Fig. 4 top view of the security module,

Fig. 5 Tabelle für Statussignalisierung, Fig. 5 table for status signaling,

Fig. 6 Darstellung der Prüfung der Integrität des Systems für statische und dynamisch änderbare Zustände, Fig. 6 illustration of the testing of the integrity of the system for static and dynamically changeable states,

Fig. 7 Flußdiagramm für die Prüfung der Integrität des Systems, Fig. 7 flowchart for testing the integrity of the system,

Fig. 8 Darstellung der statischen Prüfung, Fig. 8 representation of the static test,

Fig. 9 und 10 Darstellung der überlappenden Verarbeitung. FIGS. 9 and 10 showing the overlapping processing.

In der Fig. 1 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt. Die Frankiermaschine besteht aus einem Meter (dem Frankierwerk) 1 und einer Base bzw. Basis 2. Letztere ist mit einer Chipkarten-Schreib/Leseeinheit 70 ausgestattet, die hinter der Führungsplatte 20 angeordnet und von der Gehäuseoberkante 22 zugänglich ist. Nach dem Einschalten der Frankier maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den Einsteckschlitz 72 eingesteckt. Ein zugeführter auf der Kante stehender Brief 3, der mit seiner zu bedruckenden Oberfläche an der Führungsplatte anliegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt. Die Briefzuführöffnung wird durch eine Klarsichtplatte 21 und die Führungsplatte 20 seitlich begrenzt.In Fig. 1 a perspective view of the franking machine is shown from the rear. The franking machine consists of a meter (the franking machine) 1 and a base 2 . The latter is equipped with a chip card read / write unit 70 which is arranged behind the guide plate 20 and is accessible from the upper edge 22 of the housing. After switching on the franking machine by means of the switch 71 , a chip card 49 is inserted into the insertion slot 72 from top to bottom. A fed letter 3 standing on the edge, which lies with its surface to be printed on the guide plate, is then printed with a franking stamp 31 in accordance with the input data. The letter feed opening is laterally delimited by a transparent plate 21 and the guide plate 20 .

Das Modul wird auf die Hauptplatine des Meters der Frankiermaschine oder eines anderen geeigneten Gerätes gesteckt. Es ist vorzugsweise innerhalb des Metergehäuses (bzw. Frankierwerkgehäuses) untergebracht, welches als Sicherheits gehäuse ausgebildet ist. Das Metergehäuse ist dabei vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen durch eine Öffnung 109 sehen kann, wobei sich die Öffnung 109 zur Bedienoberfläche 88, 89 des Meters 1 erstreckt.The module is plugged onto the main board of the meter of the franking machine or another suitable device. It is preferably housed within the meter housing (or franking machine housing), which is designed as a security housing. The meter housing is advantageously constructed such that the user can still see the status display of the security module from the outside through an opening 109 , the opening 109 extending to the user interface 88 , 89 of the meter 1 .

Die Anzeige wird direkt vom modulinternen Prozessor gesteuert und ist so von außen nicht ohne weiteres manipulierbar. Die Anzeige ist im Betriebszustand ständig aktiv, so daß das Anlegen der Systemspannung Us+ an den Prozessor des Sicherheitsmoduls ausreicht, die Anzeige zu aktivieren, um den Modulzustand ablesen zu können.The display is controlled directly by the internal processor and so it is not easily manipulated from the outside. The ad is in Operating state constantly active, so that the application of the system voltage Us + to the processor of the security module is sufficient to display Activate in order to read the module status.

Die Fig. 2 zeigt ein Blockschaltbild des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt. Der positive Pol der Batterie 134 ist über die Leitung 193 mit dem einen Eingang des Spannungsumschalters 180 und die Systemspannung führende Leitung 191 ist mit dem anderen Eingang des Spannungs umschalters 180 verbunden. Als Batterie 134 eignet sich der Typ SL- 389/P für eine Lebensdauer bis zu 3,5 Jahren oder der Typ SL-386/P für eine Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 180 kann ein handels üblicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 an einer Spannungsüberwachungseinheit 12 und einer Detektionseinheit 13 an. Die Spannungsüberwachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins 1, 2, 4 und 5 des Prozessors bzw. Mikroprozessors 120 über die Leitungen 135, 164 und 137, 139 in Kommunikationsverbindung. Der Ausgang des Spannungsumschalters 180 liegt über die Leitung 136 außerdem am Versorgungseingang eines ersten Speichers SRAM an, der durch die vorhandene Batterie 134 zum nichtflüchtigen Speicher NVRAM 116 einer ersten Technologie wird. FIG. 2 shows a block diagram of the postal security module PSM 100 in a preferred variant. The negative pole of the battery 134 is grounded and a pin P23 of the contact group 102 . The positive pole of the battery 134 is over the line 193 to one input of the voltage selector 180 and the system voltage-carrying line 191 is connected to the other input of the voltage changeover switch 180 is connected. The SL-389 / P is suitable as battery 134 for a lifespan of up to 3.5 years or the SL-386 / P for a lifespan of up to 6 years with maximum power consumption by the PSM 100 . A commercially available circuit type ADM 8693ARN can be used as voltage switch 180 . The output of the voltage changeover switch 180 is connected to a voltage monitoring unit 12 and a detection unit 13 via the line 136 . The voltage monitoring unit 12 and the detection unit 13 are in communication with the pins 1, 2, 4 and 5 of the processor or microprocessor 120 via the lines 135 , 164 and 137 , 139 . The output of the voltage changeover switch 180 is also present via the line 136 at the supply input of a first memory SRAM, which becomes a non-volatile memory NVRAM 116 of a first technology due to the existing battery 134 .

Das Sicherheitsmodul steht mit der Frankiermaschine über den Systembus 115, 117, 118 in Verbindung. Der Prozessor 120 kann über den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfernten Datenzentrale eintreten. Die Abrechnung wird von einer Funktionseinheit in Gestalt eines ASICs 150 vollzogen. Die postalischen Abrechnungsdaten werden in nichtflüchtigen Speichern unterschiedlicher Technologie gespeichert.The security module is connected to the franking machine via the system bus 115 , 117 , 118 . Processor 120 can communicate with a remote data center through the system bus and modem 83 . The billing is carried out by a functional unit in the form of an ASIC 150 . The postal accounting data are stored in non-volatile memories of different technologies.

Am Versorgungseingang eines zweiten Speichers NV-RAM 114 liegt Systemspannung an. Hierbei handelt es sich um einen nichtflüchtigen Speicher NVRAM einer zweiten Technologie, (SHADOW-RAM). Diese zweiten Technologie umfaßt vorzugsweise ein RAM und ein EEPROM, wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch übernimmt. Der NVRAM 114 der zweiten Technologie ist mit den entsprechenden Adress- und Dateneingängen des ASIC's 150 über einen internen Adreß- und Datenbus 112, 113 verbunden.System voltage is present at the supply input of a second memory NV-RAM 114 . This is a non-volatile memory NVRAM of a second technology, (SHADOW-RAM). This second technology preferably comprises a RAM and an EEPROM, the latter automatically taking over the data content in the event of a system power failure. The NVRAM 114 of the second technology is connected to the corresponding address and data inputs of the ASIC 150 via an internal address and data bus 112 , 113 .

Der ASIC 150 enthält mindestens eine Hardware-Abrecheneinheit für die Berechnung der zu speichernden postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik für den ASIC 150 untergebracht. Der ASIC 150 wird durch die Logik PAL 160 gesteuert. Ein Adreß- und Steuerbus 117, 115 von der Hauptplatine des Meters 1 ist an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein Steuersignal für das ASIC 150 und ein Steuersignal 119 für den Programmspeicher FLASH 128. Der Prozessor 120 arbeitet ein Programm ab, das im FLASH 128 gespeichert ist. Der Prozessor 120, FLASH 28, ASIC 12 und PAL 160 sind über einen modulinternen Systembus miteinander verbunden, der Leitungen 110, 111, 126, 119 für Daten-, Adreß- und Steuersignale enthält.The ASIC 150 contains at least one hardware accounting unit for the calculation of the postal data to be stored. An access logic for the ASIC 150 is accommodated in the programmable array logic (PAL) 160 . The ASIC 150 is controlled by the logic PAL 160 . An address and control bus 117 , 115 from the main board of the meter 1 is connected to corresponding pins of the logic PAL 160 and the PAL 160 generates at least one control signal for the ASIC 150 and one control signal 119 for the program memory FLASH 128 . The processor 120 executes a program that is stored in the FLASH 128 . The processor 120 , FLASH 28 , ASIC 12 and PAL 160 are connected to one another via an internal system bus which contains lines 110 , 111 , 126 , 119 for data, address and control signals.

Die RESET-Einheit 130 ist über die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch eine Resetgenerierung in der RESET- Einheit 130 zurückgesetzt.The RESET unit 130 is connected via line 131 to pin 3 of processor 120 and to a pin of ASIC's 150 . The processor 120 and the ASIC 150 are reset when the supply voltage drops by a reset generation in the RESET unit 130 .

Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf. Der Prozessor 120 des Sicherheitsmoduls 100 ist über einen modul-internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FLASH 128 dient als Programmspeicher und wird mit Systemspannung Us+ versorgt. Er ist beispielsweise ein 128 Kbyte- FLASH-Speicher vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert über einen modulinternen Adreßbus 110 die Adressen 0 bis 7 an die entsprechenden Adreß eingänge des FLASH 128. Der Prozessor 120 des Sicherheitsmoduls 100 liefert über einen internen Adreßbus 111 die Adressen 8 bis 15 an die entsprechenden Adresseingänge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht über die Kontaktgruppe 101 des Interfaces mit dem Datenbus 118, mit dem Adreßbus 117 und dem Steuerbus 115 der Hauptplatine des Meters 1 in Kommunikationsverbindung.The processor 120 internally has a processing unit CPU 121 , a real-time clock RTC 122, a RAM unit 124 and an input / output unit 125 . The processor 120 of the security module 100 is connected to a FLASH 128 and to the ASIC 150 via an internal data bus 126 . The FLASH 128 serves as program memory and is supplied with system voltage Us +. For example, it is a 128 Kbyte FLASH memory of the type AM29F010-45EC. The ASIC 150 of the postal security module 100 supplies the addresses 0 to 7 to the corresponding address inputs of the FLASH 128 via an internal address bus 110 . The processor 120 of the security module 100 supplies the addresses 8 to 15 to the corresponding address inputs of the FLASH 128 via an internal address bus 111 . The ASIC 150 of the security module 100 is in communication via the contact group 101 of the interface with the data bus 118 , with the address bus 117 and the control bus 115 of the main board of the meter 1 .

Der Spannungsumschalter 180 gibt als Ausgangsspannung auf der Leitung 136 für die Spannungsüberwachungseinheit 12 und Speicher 116 diejenige seiner Eingangsspannungen weiter, die größer als die andere ist. Durch die Möglichkeit, die beschriebene Schaltung in Abhängigkeit von der Höhe der Spannungen Us+ und Ub+ automatisch mit der größeren von beiden zu speisen, kann während des Normalbetriebs die Batterie 134 ohne Datenverlust gewechselt werden. Die Echtzeituhr RTC 122 und der Speicher RAM 124 werden von einer Betriebsspannung über die Leitung 138 versorgt. Diese Spannung wird von der Spannungsüber wachungseinheit 12 erzeugt.The voltage switch 180 passes on as the output voltage on the line 136 for the voltage monitoring unit 12 and memory 116 that of its input voltages which is greater than the other. Due to the possibility of automatically feeding the described circuit depending on the level of the voltages Us + and Ub + with the larger of the two, the battery 134 can be changed during normal operation without loss of data. The real-time clock RTC 122 and the memory RAM 124 are supplied by an operating voltage via the line 138 . This voltage is generated by the voltage monitoring unit 12 .

Die Batterie der Frankiermaschine speist in den Ruhezeiten außerhalb des Normalbetriebes in vorerwähnter Weise die Echtzeituhr 122 mit Datums und/oder Uhrzeitregistern und/oder den statischen RAM (SRAM) 124, der sicherheitsrelevante Daten hält. Sinkt die Spannung der Batterie während des Batteriebetriebs unter eine bestimmte Grenze, so wird von der Schaltung 12 der Speisepunkt für RTC und SRAM mit Masse verbunden. Das heißt, die Spannung an der RTC und am SRAM liegt dann bei 0 V. Das führt dazu, daß der SRAM 124, der z. B. wichtige kryptografische Schlüssel enthält, sehr schnell gelöscht wird. Gleichzeitig werden auch die Register der RTC 122 gelöscht und die aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Aktion wird verhin dert, daß ein möglicher Angreifer durch Manipulation der Batteriespan nung die frankiermaschineninterne Uhr 122 anhält, ohne daß sicherheits relevante Daten verloren gehen. Somit wird verhindert, daß er Sicher heitsmaßnahmen, wie beispielsweise Sleeping Mode (EP 660 268 A2) oder Long Time Watchdog (wird anhand der Fig. 5 noch erläutert) umgeht.The battery of the postage meter machine feeds the real-time clock 122 with date and / or time registers and / or the static RAM (SRAM) 124 , which holds security-relevant data, in the aforementioned manner in the aforementioned manner. If the voltage of the battery drops below a certain limit during battery operation, the circuit 12 connects the feed point for RTC and SRAM to ground. This means that the voltage at the RTC and the SRAM is then 0 V. This leads to the SRAM 124 , which, for. B. contains important cryptographic keys, is deleted very quickly. At the same time, the registers of the RTC 122 are also deleted and the current time and date are lost. This action prevents a possible attacker from manipulating the battery voltage by stopping the internal franking machine clock 122 without losing security-relevant data. This prevents him from circumventing safety measures, such as sleeping mode (EP 660 268 A2) or long time watchdog (will be explained with reference to FIG. 5).

Die Schaltung der Spannungsüberwachungseinheit 12 ist beispielsweise so dimensioniert, daß jegliches Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte Schwelle von 2,6 V zum Ansprechen der Schaltung 12 führt. Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die Schaltung 12 in einen Selbsthaltezustand, in dem sie auch bei nachträglicher Erhöhung der Spannung bleibt. Sie liefert außerdem ein Statussignal 164. Beim nächsten Einschalten des Moduls kann der Prozessor den Zustand der Schaltung abfragen (Statussignal) und damit und/oder über die Auswertung der Inhalte des gelöschten Speichers darauf schließen, daß die Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat. Der Prozessor kann die Überwachungsschaltung 12 zurücksetzen, d. h. "scharf" machen. Letztere reagiert auf ein Steuersignal auf der Leitung 135.The circuit of the voltage monitoring unit 12 is dimensioned, for example, such that any drop in the battery voltage on the line 136 below the specified threshold of 2.6 V leads to the circuit 12 responding. Simultaneously with the indication of the undervoltage of the battery, the circuit 12 changes into a self-holding state, in which it remains even when the voltage is subsequently increased. It also provides a status signal 164 . The next time the module is switched on, the processor can query the status of the circuit (status signal) and thus and / or conclude from the evaluation of the contents of the deleted memory that the battery voltage has in the meantime fallen below a certain value. The processor can reset the monitoring circuit 12 , ie arm it. The latter responds to a control signal on line 135 .

Die Leitung 136 am Eingang des Batterieobservers 12 versorgt zugleich eine Detektions-Einheit 13 mit Betriebs- oder Batteriespannung. Vom Prozessor 120 wird der Zustand der Detektions-Einheit 13 über die Leitung 139 abgefragt oder die Detektions-Einheit 13 wird vom Prozessor 120 über die Leitung 137 ausgelöst bzw. gesetzt. Nach dem Setzen wird eine statische Prüfung auf Anschluß durchgeführt. Dazu wird über eine Leitung 192 Massepotential abgefragt, welches am Anschluß P4 des Interfaces des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist, wenn der Sicherheitsmodul 100 ordnungsgemäß gesteckt ist. Bei gesteckten Sicherheitsmodul 100 wird Massepotential des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den Anschluß P23 des Interfaces 8 gelegt und ist somit am Anschluß P4 des Interfaces über die Leitung 192 von der Detektions- Einheit 13 abfragbar.The line 136 at the input of the battery observer 12 also supplies a detection unit 13 with operating or battery voltage. By the processor 120 of the status of the detection unit 13 is sampled through line 139 or the detection unit 13 is triggered by the processor 120 or via the line 137 is set. After setting, a static check for connection is carried out. For this purpose, a ground potential is queried via a line 192 , which is present at the connection P4 of the interface of the postal security module PSM 100 and can only be queried if the security module 100 is properly inserted. When the security module 100 is plugged in, the ground potential of the negative pole 104 of the battery 134 of the postal security module PSM 100 is connected to the connection P23 of the interface 8 and can thus be queried by the detection unit 13 at the connection P4 of the interface via the line 192 .

An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen, welche nur bei einem, beispielsweise an die Hauptplatine des Meters 1, gesteckten Sicherheitsmodul 100 eine Leiterschleife 18 bilden. Zur dynamischen Prüfung des Zustandes des Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der Hauptplatine des Meters 1 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmäßigen Zeitabständen an die Pin's 6, 7 angelegt und über die Schleife zurückgeschleift.Cables are connected to the pins 6 and 7 of the processor 120 , which only form a conductor loop 18 when a security module 100 is plugged in, for example on the main circuit board of the meter 1 . In order to dynamically check the status of the connection of the postal security module PSM 100 to the main board of meter 1 , changing signal levels are applied by the processor 120 at very irregular time intervals to the pins 6, 7 and looped back over the loop.

Der Prozessor 120 ist mit der Ein/Ausgabe-Einheit 125 ausgestattet, deren Anschlüsse Pin's 8, 9 zur Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 100 dienen. An den Pin's 8 und 9 liegen I/O-Ports der Ein/Ausgabe-Einheit 125, an welchen modulinterne Signalmittel angeschlossen sind, beispielsweise farbige Lichtemitterdioden LED's 107, 108. Diese signalisieren den Modulzustand bei einem auf die Hauptplatine des Meters 1 gesteckten Sicherheits moduls 100 durch eine Öffnung 109 im Metergehäuse. Die Sicherheits module können in ihrem Lebenszyklus verschiedene Zustände ein nehmen. So muß z. B. detektiert werden, ob das Modul gültige kryptografische Schlüssel enthält. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul funktioniert oder defekt ist. Die genaue Art und Anzahl der Modulzustände ist von den realisierten Funktionen im Modul und von der Implementierung abhängig.The processor 120 is equipped with the input / output unit 125 , the connections of which pins 8, 9 are used to output at least one signal for signaling the state of the security module 100 . I / O ports of the input / output unit 125 , to which module-internal signaling means are connected, for example colored light emitting diodes LEDs 107 , 108 , are located at pins 8 and 9. These signal the module status when a security module 100 is plugged onto the main board of the meter 1 through an opening 109 in the meter housing. The safety modules can assume various states in their life cycle. So z. B. can be detected whether the module contains valid cryptographic keys. It is also important to differentiate whether the module is working or defective. The exact type and number of module states depends on the functions implemented in the module and on the implementation.

Die Fig. 3 zeigt zeigt den mechanischen Aufbau des Sicherheitsmoduls in Seitenansicht. Das Sicherheitsmodul ist als Multi-Chip-Modul ausge bildet, d. h. mehrere Funktionseinheiten sind auf einer Leiterplatte 106 verschaltet. Das Sicherheitsmodul 100 ist mit einer harten Vergußmasse 105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 außerhalb der Vergußmasse 105 auf einer Leiterplatte 106 auswechselbar angeordnet ist. Beispielsweise ist es so mit einem Vergußmaterial 105 vergossen, daß das Signalmittel 107, 108 aus dem Vergußmaterial an einer ersten Stelle herausragt und daß die Leiterplatte 106 mit der gesteckten Batterie 134 seitlich einer zweiten Stelle herausragt. Die Leiterplatte 106 hat außerdem Batteriekontaktklemmen 103 und 104 für den Anschluß der Pole der Batterie 134, vorzugsweise auf der Bestückungsseite oberhalb der Leiterplatte 106. Es ist vorgesehen, daß zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet sind. Der Anwenderschaltkreis ASIC 150 steht über die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontaktgruppe 102 dient der Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es vorzugsweise innerhalb des Metergehäuses dergestalt angeordnet, so daß das Signalmittel 107, 108 nahe einer Öffnung 109 ist oder in diese hineinragt. Das Metergehäuse ist damit vorteilhaft so konstruiert, daß der Benutzer die Statusanzeige des Sicherheitsmoduls trotzdem von außen sehen kann. Die beiden Leucht dioden 107 und 108 des Signalmittels werden über zwei Ausgangssignale der I/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert. Beide Leuchtdioden sind in einem gemeinsamen Bauelementegehäuse unter gebracht (Bicolorleuchtdiode), weshalb die Abmaße bzw. der Durchmes ser der Öffnung relativ klein bleiben kann und in der Größenordnung des Signalmittels liegt. Prinzipiell sind drei unterschiedliche Farben darstellbar (rot, grün, orange), jenachdem die LED's einzeln oder gleichzeitig angesteuert werden. Zur Zustandsunterscheidung werden die LED's auch einzeln oder zusammen blinkend ggf. abwechselnd blinkend gesteuert, so daß ein Vielzahl verschiedener Zustande unterschieden werden können, in welchem mindestens eine der LED's aktiviert wird. Fig. 3 shows shows the mechanical structure of the security module in side view. The security module is designed as a multi-chip module, ie a plurality of functional units are connected on a printed circuit board 106 . The security module 100 is encapsulated with a hard potting compound 105 , the battery 134 of the security module 100 being exchangeably arranged outside the potting compound 105 on a printed circuit board 106 . For example, it is encapsulated with a potting material 105 in such a way that the signaling means 107 , 108 protrude from the potting material at a first point and that the printed circuit board 106 with the inserted battery 134 protrudes laterally at a second point. The circuit board 106 also has battery contact terminals 103 and 104 for connecting the poles of the battery 134 , preferably on the component side above the circuit board 106 . It is contemplated that the contact groups are arranged 101 and 102 beneath the circuit board 106 (conductor path side) of the security module 100 for connecting the postal security module 100 on the motherboard of the meter. 1 The user circuit ASIC 150 is connected via the first contact group 101 - in a manner not shown - to the system bus of a control device 1 and the second contact group 102 is used to supply the safety module 100 with the system voltage. If the security module is plugged onto the main circuit board, then it is preferably arranged within the meter housing in such a way that the signaling means 107 , 108 is near an opening 109 or protrudes into it. The meter housing is thus advantageously constructed so that the user can still see the status display of the security module from the outside. The two light-emitting diodes 107 and 108 of the signaling means are controlled via two output signals from the I / O ports on the pins 8, 9 of the processor 120 . Both LEDs are housed in a common component housing (bicolor LED), which is why the dimensions or the diameter of the opening can remain relatively small and is in the order of the signaling means. In principle, three different colors can be represented (red, green, orange), after which the LEDs are controlled individually or simultaneously. To differentiate the status, the LEDs are also controlled individually or together flashing, if necessary alternately flashing, so that a variety of different states can be distinguished in which at least one of the LEDs is activated.

In der Fig. 4 ist eine Draufsicht auf das postalische Sicherheitsmodul dargestellt. Die Vergußmasse 105 umgibt quaderförmig einen ersten Teil der Leiterplatte 106, während ein zweiter Teil der Leiterplatte 106 für die auswechselbar angeordnete Batterie 134 von Vergußmasse frei bleibt. Die Batteriekontaktklemmen 103 und 104 werden hier von der Batterie verdeckt.In FIG. 4 a top view is shown to the postal security module. The potting compound 105 surrounds a first part of the circuit board 106 in a parallelepiped shape, while a second part of the circuit board 106 remains free of potting compound for the replaceable battery 134 . The battery contact terminals 103 and 104 are covered by the battery here.

Gemäß einer in der Fig. 5 gezeigten - sich selbst erläuternden - Tabelle für Statussignalisierung geht eine Vielzahl möglicher Zustandsanzeigen hervor. Eine grün leuchtende LED 107 signalisiert einen OK-Zustand 220, aber eine leuchtende LED 108 signalisiert einen Fehler-Zustand 230 im Ergebnis eines mindestens statischen Selbsttestes. Das Ergebnis eines solchen an sich bekannten Selbsttestes kann wegen der direkten Signalisierung über die LED's 107, 108 nicht verfälscht werden.According to a - self-explanatory - table for status signaling shown in FIG. 5, a large number of possible status displays are shown. A green lit LED 107 signals an OK state 220 , but a lit LED 108 signals an error state 230 as a result of an at least static self-test. The result of such a self-test known per se cannot be falsified because of the direct signaling via the LEDs 107 , 108 .

Beispielsweise für den Fall, daß zwischenzeitlich die im Sicherheitsmodul gespeicherten Schlüssel verloren gingen, würde die laufende Überprüfung im dynamischen Betrieb den Fehler feststellen und als den Zustand 240 mit orange leuchtenden LED's signalisieren. Nach einem Aus/Einschalten ist ein Booten erforderlich, da anderenfalls keine andere Operation mehr ausgeführt werden kann. Der Fall, daß bei der Herstellung die Installation eines Schlüssels vergessen wurde, wird als Zustand 260 beispielsweise mit einer grün blinkenden LED 107 signalisiert. Auch der Fall, daß ein long time watchdog-Timer abgelaufen ist, wird als Zustand 250 durch eine rot blinkende LED signalisiert. Der long time watchdog-Timer ist abgelaufen, wenn lange Zeit die Datenzentrale nicht mehr kontaktiert wurde, beispielsweise um ein Guthaben nachzuladen. Der Zustand 250 wird ebenfalls erreicht, wenn das Sicherheitsmodul vom Meter getrennt wurde. Weitere Zustandsanzeigen für die Zustände 270, 280, 290 sind optional für verschiedene weitere Prüfungen vorgesehen.For example, in the event that the keys stored in the security module were lost in the meantime, the ongoing check in dynamic operation would determine the error and signal it as status 240 with orange LEDs. Booting is required after switching off / on, otherwise no other operation can be carried out. The event that the installation of a key was forgotten during manufacture is signaled as state 260, for example with a flashing green LED 107 . The case that a long time watchdog timer has expired is also signaled as state 250 by a flashing red LED. The long time watchdog timer has expired if the data center has not been contacted for a long time, for example to reload a credit. State 250 is also reached when the safety module has been disconnected from the meter. Additional status displays for states 270 , 280 , 290 are optionally provided for various other tests.

Die Fig. 6 zeigt eine Darstellung der Prüfung der Integrität des Systems für statisch und dynamisch änderbare Zustände. Ein ausgeschaltetes System im Zustand 200 geht nach dem Einschalten über die Transition Start 201 in den Zustand 210 über, in welchem vom Sicherheitsmodule ein statischer Selbsttest durchgeführt wird sobald die Betriebsspannung anliegt. Bei der Transition 202, bei der der Selbsttest ein OK bei ordnungsgemäßem Ergebnis ergibt, wird der Zustand 220 LED grün leuchtend erreicht. Ausgehend von letzterem Zustand ist bei Bedarf ein wiederholter statischer Selbsttest und ein dynamischer Selbsttest durchführbar. Eine solche Transition 203 oder 206 führt entweder zurück auf den Zustand 220 LED grün bei OK oder auf den Zustand 240 LED orange bei einem Fehler. Letzterer ist durch einen Recover-Versuch evtl. durch Ausschalten (Transition 211) und Wiedereinschalten des Gerätes (Transition 201) behebbar. Statische Fehler sind aber nicht behebbar. Von Zustand 210, in welchem das eingeschaltete Gerät einen statischen Selbsttest ausführt, existiert bei einem Fehler eine Transition 204 zum Zustand 230 LED rot. Zu jeder Zeit, wenn sich das Gerät im Zustand 220 LED grün befindet, kann ein on demand ausgeführter statischer Selbsttest bei einem Fehler über eine Transition 205 zum Zustand 230 LED rot führen. Ausgehend vom Zustand 220 LED grün können nicht gezeigte weitere Transitionen 207, 208, 209 zu den weiteren Zuständen 270 (mit orange blinkenden LED's signalisiert), 280 (mit rot leuchtend/orange blinkenden LED's signalisiert) und 290 (mit grün leuchtend/orange blinkenden LED's signalisiert) führen. Fig. 6 shows an illustration of the testing of the integrity of the system for statically and dynamically changeable states. A switched-off system in state 200 changes after switching on via transition start 201 to state 210 , in which the safety modules carry out a static self-test as soon as the operating voltage is present. With transition 202 , in which the self-test gives an OK if the result is correct, the state 220 LED with a green light is reached. Starting from the latter state, a repeated static self-test and a dynamic self-test can be carried out if necessary. Such a transition 203 or 206 either leads back to the state 220 LED green with OK or to the state 240 LED orange with an error. The latter can be remedied by trying to recover it by switching it off (Transition 211 ) and then on again (Transition 201 ). However, static errors cannot be corrected. From state 210 , in which the switched-on device carries out a static self-test, there is a transition 204 to state 230 LED red in the event of an error. At any time when the device is in the 220 LED green state, a static self-test carried out on demand can lead to the 230 LED red state in the event of an error via a transition 205 . Starting from state 220 LED green, further transitions 207 , 208 , 209 (not shown) to further states 270 (signaled with orange flashing LEDs), 280 (signaled with red flashing / orange flashing LEDs) and 290 (with green flashing / orange flashing LEDs) signals).

Die Fig. 7 zeigt ein Flußdiagramm für die Prüfung der Integrität des Systems. Der Mikroprozessor CPU 121 ist durch ein entsprechendes im Flash 128 gespeichertes Programm programmiert, solche vorgenannten Selbsttests auszuführen, wobei nach dem Start 299, in einem ersten Schritt 300 ein Power on-Selbsttest durchgeführt und dann im Schritt 301 gefragt wird, ob der Power on-Selbsttest ein OK ergeben hat. Ist das der Fall, so wird im Schritt 302 die grüne LED 107 vom Mikroprozessor CPU 121 über ein I/O-Port 125 leuchtend gesteuert. Anderenfalls wird im Schritt 303 die rote LED 108 vom Mikroprozessor CPU 121 über ein I/O- Port 125 leuchtend gesteuert. Figure 7 shows a flow chart for checking the integrity of the system. The microprocessor CPU 121 is programmed by a corresponding program stored in the flash 128 to carry out the aforementioned self-tests, a power-on self-test being carried out in a first step 300 after the start 299 and then a question being asked in step 301 as to whether the power on Self-test has given an OK. If this is the case, then in step 302 the green LED 107 is controlled by the microprocessor CPU 121 via an I / O port 125 to light up. Otherwise, in step 303, the red LED 108 is controlled by the microprocessor CPU 121 via an I / O port 125 to light up.

Vom Schritt 302 wird auf die Abfrage 304 verzweigt, in welcher geprüft wird, ob eine weitere statische Prüfung verlangt wird. Ist das der Fall, so wird zum Schritt 300 zurückverzweigt. Anderenfalls wird in den Schritten 305-307 mindestens eine Registeroperation durchgeführt und dann wird auf die Abfrage 308 verzweigt, in welcher geprüft wird, ob der Ist-Zustand gültig bzw. ordnungsgemäß ist. Im Verlauf der Registeroperation oder anschließend, wird eine dynamische Prüfung durchgeführt. Wenn diese nicht ordnungsgemäß verläuft oder fehlerbehaftet ist, dann wird vom Abfrageschritt 308 zum Schritt 315 verzweigt und beide, die grüne LED 107 und die rote LED 108, werden vom Mikroprozessor CPU 121 über ein I/O-Port 125 leuchtend gesteuert. Somit ergibt sich der Gesamteindruck, daß die LED's orange leuchten. Anschließend an den Abfrageschritt 308 wird bei einem zufriedenstellenden Ist-Zustand in den Schritten 309-314 eine dynamische Berechnung und nachfolgend ein Abspeichern der Ergebnisse durchgeführt. Vom letzten Schritt wird zum Schritt 302 zurückgezweigt. Dadurch ergibt sich on demand eine zweistufige Prüfung. Für die dynamische Berechnung ist es ausreichend, wenn zur Prüfung vom Mikroprozessor CPU 121 nur Teilfunktionen zeitlich versetzt auf dem gleichen oder auf einem anderen Rechenweg nachvollzogen werden, wobei selbstverständlich beide Rechenwege zum selben Überprüfungsergebnis OK oder DEFECT bzw. ERROR führen müssen.Step 302 branches to query 304 , in which it is checked whether a further static check is required. If this is the case, the method branches back to step 300 . Otherwise, at least one register operation is carried out in steps 305-307 and then a branch is made to query 308 , in which it is checked whether the actual state is valid or correct. In the course of the register operation or afterwards, a dynamic check is carried out. If this is not proceeding properly or is faulty, then a branch is made from query step 308 to step 315 and both the green LED 107 and the red LED 108 are controlled by the microprocessor CPU 121 via an I / O port 125 in a luminous manner. This gives the overall impression that the LEDs are orange. Following the query step 308 , if the actual state is satisfactory, a dynamic calculation is carried out in steps 309-314 and the results are subsequently stored . The process branches back to step 302 from the last step. This results in a two-stage check on demand. For the dynamic calculation, it is sufficient for the microprocessor CPU 121 to perform only partial functions at different times on the same or a different calculation path, whereby both calculation paths must of course lead to the same check result OK or DEFECT or ERROR.

In einem System mit dem Speicherbereich M und einer Vielzahl an Funktionen F soll ein in der Größe bzw. im Umfang definierbarer sicherheitsrelevanter Teilbereich M' und F' vor Fehlfunktionen und Ausfällen geschützt werden. Zu diesem Zweck werden die sicherheitsrelevanten Funktionen F', soweit sie nicht sowieso ausschließlich auf dem Speicherbereich M' arbeiten, derart ausgebildet, daß sie eindeutige Prüfmarken (Pattern) ihrer (erfolgreichen) Wirkungsweise im System auf dem Speicherbereich M' abbilden. Das Sicherheitsverfahren unterscheidet nun grundsätzlich zwischen zwei unterschiedlichen Systemzuständen: dem statischen, bei dem sich der Inhalt des Speicherbereichs M' nicht verändert und dem dynamischen, bei dem eine Änderung des Inhalts des Speicherbereichs M' erfolgt. Das Sicherheitsverfahren ist nun zum einen dadurch gekennzeichnet, daß während des statischen Zustands in zeitlich wiederkehrender Abfolge eine Überprüfung der Integrität des Systems (genauer gesagt der System komponenten M' und F') dadurch erfolgt, daß durch eine mathematische Einweg-Funktion (z. B. das Hash-Verfahren) ein "Pattern" C2 über den Speicherbereich M' erzeugt wird, welches mit dem aktuell gültigen, ge speicherten Pattern C1 (welches erstmalig durch eine Systeminitialisier ung generiert und validiert wurde) verglichen wird. Das hat den Vorteil, daß auch bei beliebig unterschiedlich langen Quellen M' ein handhab bares Format für Cx erzeugt wird und somit eine effiziente Verarbeitung ermöglicht wird. Bei auftretender Ungleichheit der Pattern C2 und C1 während des ersten, statischen Systemzustands, wird die vorher definier te und gewünschte Reaktion durch das Sicherheitsverfahren auf eine Fehlfunktion bzw. einen Ausfall oder Manipulation des Systems erzeugt.In a system with the storage area M and a variety of Functions F should be definable in size or scope safety-relevant sub-areas M 'and F' from malfunctions and Failures are protected. For this purpose the security-related functions F ', unless they are anyway work exclusively on the memory area M ', designed in such a way that they have clear test marks (patterns) of their (successful) Map the mode of operation in the system on the memory area M '. The Security procedures now basically differentiate between two different system states: the static, at which the Contents of the memory area M 'not changed and the dynamic, at which changes the content of the memory area M '. The Security procedure is now characterized on the one hand by the fact that during the static state in a recurring sequence a check of the integrity of the system (more precisely the system components M 'and F') in that a mathematical One-way function (e.g. the hash method) a "pattern" C2 over the Memory area M 'is generated, which with the currently valid ge saved pattern C1 (which was first created by a system initialization generated and validated) is compared. That has the advantage, that even with sources of any length M 'handle one format for Cx is generated and thus efficient processing is made possible. If patterns C2 and C1 are not identical during the first, static system state, the previously defined te and desired response through the security procedure to a Malfunction or a failure or manipulation of the system.

Interessant ist nun die Betrachtung der zweiten, dynamischen System stufe, in der sich der Speicherinhalt M' durch mindestens eine der Funk tionen F' hervorgerufen, ändert. Hierbei sieht das Sicherheitsverfahren eine überlappende Verarbeitung mit zwischenzeitlich stattfindender Validierung des Systemzustands vor. Zu diesem Zweck ist der Speicherbereich M' redundant ausgeführt und beinhaltet mindestens zwei sich in Art und Umfang sowie im statischen Zustand auch vom Inhalt her sich entsprechende Abbildungen M1' und M2'. Durch das Sicherheits verfahren wird die Adressverwaltung der Unterbereiche M₁' und M₂' bis M_x' des Bereiches M' derart vorgenommen, daß mindestens immer der zuletzt aktuelle und validierte Zustand - z. B. M1' im Speicherbereich M₁' - verfügbar ist. Um einen veränderten Zustand - z. B. M2' im Speicherbe reich M₂' - zu validieren, ist es als eine erste Möglichkeit, insbesondere wenn eine Fremdbeeinflussung des Systems durch Dritte ausgeschlossen werden kann, vorgesehen, den aktuell verändernden Prozeß z. B. F1' aus dem Funktionsumfang F' mehrfach auszuführen, um durch zwischenzeit lich gebildete "Pattern" Cx über den Inhalt M2' des Speicherbereichs M₂' und den Vergleich der jeweils zwischengespeicherten Pattern-Ergebnisse, den neuen Zustand im Speicherbereich M₂' als validiert zu übernehmen sowie den Speicherbereich M₁' demzufolge zum Überschreiben durch folgende Veränderungen freizugeben. Eine weitere Möglichkeit besteht darin, daß das Sicherheitsverfahren über eigene Intelligenz verfügt, um mindestens einige Funktionen aus F' auszuführen, um so im ersten Schritt ein flüchtig gespeichertes Spiegelabbild vom Inhalt des Speicherbereichs M₂' und dann im Anschluß daran das zugehörige Spiegel-Pattern Cx zwecks Vergleich mit dem "Original" zu erzeugen.It is now interesting to consider the second, dynamic system stage, in which the memory content M 'is caused by at least one of the functions F'. Here, the security procedure provides for overlapping processing with meanwhile validation of the system status. For this purpose, the memory area M 'is of redundant design and contains at least two images M1' and M2 'which correspond in terms of their type and scope and in terms of their statics and content. Through the security procedure, the address management of the sub-areas M ₁ 'and M ₂ ' to M _x 'of the area M' is carried out in such a way that at least always the last current and validated state - e.g. B. M1 'in the memory area M ₁ ' - is available. To change the state - e.g. B. M2 'in the memory area M ₂ ' - to validate, it is provided as a first option, especially if external influence on the system can be excluded by third parties, the currently changing process z. B. F1 'from the functional range F' to be executed several times in order to create the new state in the memory area M ₂ 'by means of the "pattern" Cx formed in the meantime via the content M2' of the memory area M ₂ 'and the comparison of the temporarily stored pattern results to take over in a validated manner and accordingly to release the memory area M ₁ 'for overwriting by the following changes. Another possibility is that the security method has its own intelligence in order to carry out at least some functions from F ', so that in the first step a volatile mirror image of the content of the memory area M ₂ ' and then the associated mirror pattern Cx for the purpose of comparison with the "original".

Anhand eines in der Fig. 8 gezeigten Beispiels soll das Verfahren im Einzelnen erläutert werden. Ein gespeichertes Pattern C1 wurde erstmalig durch eine Systeminitialisierung generiert und validiert. Durch eine mathe matische Einweg-Funktion wird ein Pattern C2 des Speicherbereichs M und der Funktionen F erzeugt und im Schritt 301 mit dem aktuell gültigen, gespeicherten Pattern C1 verglichen. Im Fehlerfall steuert der Mikroprozessor 120 die LED-Signalisierung rot leuchtend (Schritt 303).The method is to be explained in detail using an example shown in FIG. 8. A saved pattern C1 was generated and validated for the first time by a system initialization. A mathematical one-way function generates a pattern C2 of the memory area M and the functions F and compares it with the currently valid, stored pattern C1 in step 301 . In the event of an error, the microprocessor 120 controls the LED signaling glowing red (step 303 ).

Anhand der Fig. 9, welche eine Darstellung der überlappenden Verarbeitung zeigt, wird der dynamische Selbsttest erläutert. Die Schritte 305 und 306 des in der Fig. 7 gezeigten Flußdiagramms für die Prüfung der Integrität des Systems können in Subschritte aufgeteilt ablaufen. Der Speicherbereich M' ist redundant als Speicherbereich M'' ausgeführt, wobei beide sich in Art und Umfang sowie - im statischen Zustand - auch vom Dateninhalt her entsprechen, was der Subschritt 305a verdeutlicht. Anderenfalls liegt ein Fehler vor, d. h. die Abbildungen M1' und M1'' entsprechen sich nicht. Vom Subschritt 305a über den Subschritt 305b werden die Inhalte beider Speicherbereiche M₁', M₁'' separat behandelt, indem jeweils eine Sicherheitsfunktion F1', F1'' ausgeführt wird, welche den Dateninhalt verändert, so daß in Subschritten 305c die Abbildungen M2' und M2'' entstehen. Durch Vertauschung der Abbildungen M2' und M2'' und Ausführung jeweils einer weiteren Sicherheitsfunktion F2', F2'' auf die vertauschten Abbildungen M2' und M2'' entsteht in den Subschrit ten 305d eine Überlappung in Form der Abbildungen M3'' aus F2''(M2') und M3' aus F2'(M2''). Im Subschritt 306 werden die Abbildungen M3' und M3'' verglichen. Ein Fehler vor, wenn die Abbildungen M3' und M3'' sich nicht entsprechen. Prinzipiell kann eine Vielzahl solcher Subschritte 305x mit überlappenden sicherheitsrelevanten Teilspeicherbereichen ausge führt werden. Der Mikroprozessor 120 ist programmiert, bei dynamischen Änderungen des Systemzustands eine überlappende Verarbeitung von mindestens einem Teil des verwendeten Funktionsumfanges zur an schließenden Validierung durchzuführen und gegebenenfalls die Validierung des Systemzustands mehrfach in Zwischenschritten durchzuführen.The dynamic self-test is explained with reference to FIG. 9, which shows a representation of the overlapping processing. Steps 305 and 306 of the flowchart for checking the integrity of the system shown in FIG. 7 can be divided into sub-steps. The memory area M 'is redundant as a storage area M''is executed, both in nature and extent, as well as - in the static state - also correspond to the data content from, what the sub-step 305 a clarified. Otherwise there is an error, ie the figures M1 'and M1''do not correspond. From sub-step 305 a through sub-step 305 b, the contents of both memory areas M ₁ ', M ₁ ''are treated separately, in each case by executing a safety function F1', F1 '' which changes the data content, so that the sub-steps 305 c Images M2 'and M2''are created. By swapping the images M2 'and M2''and executing a further safety function F2', F2 '' on the interchanged images M2 'and M2'', an overlap in the form of images M3''from F2 occurs in sub-steps 305 d '' (M2 ') and M3' from F2 '(M2''). In sub-step 306 , the images M3 'and M3''are compared. An error occurs if the illustrations M3 'and M3''do not correspond. In principle, a large number of such sub-steps 305 x can be carried out with overlapping security-relevant partial memory areas. The microprocessor 120 is programmed to carry out overlapping processing of at least part of the functional range used for subsequent validation in the event of dynamic changes in the system state and, if appropriate, to carry out the validation of the system state several times in intermediate steps.

In der Fig. 10 wird eine überlappende Verarbeitung in Kombination mit überlappenden Prüfsummen und/oder mit überlappenden Operationen gezeigt. Der dynamische Selbsttest kann entsprechend den Sicherheitsanforderungen in unterschiedlichsten Variationen ausgeführt werden. Es ist vorgesehen, daß der Mikroprozessor (120) programmiert ist, bei dynamischen Änderungen des Systemzustands eine überlappende Verarbeitung durchzuführen, von mindestens einem Teil des verwendeten Funktionsumfanges oder des verwendeten Prüfpattern. Anschließend erfolgt immer die Validierung. Es ist vorgesehen, die überlappende Verarbeitung von mindestens Teilen des verwendeten Prüfpattern, des Funktionsumfanges oder Speicherbereiches in Kombination miteinander zur anschließenden Validierung durchzuführen. FIG. 10 shows overlapping processing in combination with overlapping checksums and / or with overlapping operations. The dynamic self-test can be carried out in a wide variety of variations in accordance with the safety requirements. It is provided that the microprocessor ( 120 ) is programmed to carry out overlapping processing in the event of dynamic changes in the system state, of at least part of the range of functions used or of the test pattern used. The validation then always takes place. It is envisaged to perform the overlapping processing of at least parts of the test pattern used, the scope of functions or memory area in combination with one another for subsequent validation.

Es wird deutlich, daß sich allein durch die Ausgestaltung der Umgebung und Art des Sicherheitsverfahrens beliebig hohe Sicherheitsanforderun gen realisieren lassen, die auf demselben Grundgedanken fußende unterschiedliche Ausgestaltungen zulassen. So ist beispielsweise auch durch entsprechend viele Unterbereiche Mx' sicherzustellen, daß sich das Sicherheitsverfahren auch bei temporär sehr schnellen Prozeßpassagen nicht als Performance-Flaschenhals erweist. Eine weitere vorteilhafte Ausgestaltung der Idee beruht darin, daß Veränderungen von Unterbereichen von Mx', Mx'', Mx''', . . ., Mx* nur nach Anforderung einer Schreiberlaubnis an das Sicherheitsverfahren ausgeführt werden können. Es ist weiterhin vorteilhaft, daß zur Ausführung des Sicherheitsverfahrens der bereits vorhandene Systemprozessor genutzt wird, was jedoch nicht ausschließt, daß auch das gesamte Sicherheitsverfahren in "Silicon" gegossen als ASIC realisierbar ist oder, bei besonders hohen Sicherheitsanforderungen, das Sicherheitsverfahren durch einen eigenen, besonders zugriffsgeschützten Prozessor realisiert wird.It becomes clear that the design of the environment alone and type of security procedure any high security requirements let gen be realized, the end based on the same basic idea allow different configurations. So is for example by means of a corresponding number of sub-areas Mx 'to ensure that the Security procedures even with temporarily very fast process passages not a performance bottleneck. Another beneficial one The idea is based on the fact that changes of Sub-ranges of Mx ', Mx' ', Mx' '',. , ., Mx * only after requesting a Permission to write to the security procedure can be carried out. It is also advantageous that to carry out the security procedure the existing system processor is used, but not excludes that the entire security procedure in "silicone" cast as ASIC is feasible or, at particularly high Security requirements, the security procedure through its own, especially access-protected processor is realized.

Bemerkenswert ist, daß es das beschriebene Verfahren ermöglicht, ohne Rückschlüsse auf den vorhandenen Datenbestand oder die vorhandene Funktionalität eines elektronischen Systems zu liefern, die Validierung in punkto System-Integrität frei definierbarer Systembereiche und -funktionen lückenlos durchzuführen.It is remarkable that the described method enables it without Conclusions about the existing database or the existing one Functionality of an electronic system to deliver validation in in terms of system integrity of freely definable system areas and -complete functions.

Erfindungsgemäß ist die Datenverarbeitungsanlage, insbesondere eine Frankiermaschine, jedoch kann das Sicherheitsmodul auch eine andere Bauform aufweisen, die es ermöglicht, daß es beispielsweise auf die Hauptplatine eines Personalcomputers gesteckt werden kann, der als PC- Frankierer einen handelsüblichen Drucker ansteuert.According to the invention, the data processing system, in particular a Franking machine, however, the security module can also be another Have design that allows it, for example, on the Main board of a personal computer that can be plugged in as a PC Frankier controls a commercially available printer.

Claims

1. Sicherheitsmodul zur Überwachung der Systemsicherheit, mit einem Mikroprozessor (120), der mit weiteren Funktionseinheiten (114, 116, 150) verschaltet ist, gekennzeichnet dadurch, dass eine zur hardwaremäßigen Abrechnung vorgesehene Funktionsein heit (150) vom Mikroprozessor (120) überwacht wird, wobei bei einer dynamischen Änderung des Systemzustands der Mikroprozessor (120) zur überlappenden Verarbeitung mit zwischenzeitlich stattfindender Validierung des Systemzustands programmiert ist.1. Security module for monitoring system security, with a microprocessor ( 120 ) which is connected to further functional units ( 114 , 116 , 150 ), characterized in that a functional unit ( 150 ) provided for hardware billing is monitored by the microprocessor ( 120 ) In the event of a dynamic change in the system state, the microprocessor ( 120 ) is programmed for overlapping processing with meanwhile validation of the system state.

2. Sicherheitsmodul nach Anspruch 1, gekennzeichnet da durch, daß der Mikroprozessor (120) programmiert ist, bei dynamischen Änderungen des Systemzustands eine überlappende Verarbeitung von mindestens einem Teil des verwendeten Speicherbereiches zur anschließenden Validierung durchzuführen.2. Security module according to claim 1, characterized in that the microprocessor ( 120 ) is programmed to perform an overlapping processing of at least part of the memory area used for subsequent validation in the event of dynamic changes in the system state.

3. Sicherheitsmodul nach Anspruch 1, gekennzeichnet da durch, daß der Mikroprozessor (120) programmiert ist, bei dynamischen Änderungen des Systemzustands eine überlappende Verarbeitung von mindestens einem Teil des verwendeten Funktionsumfanges zur anschließenden Validierung durchzuführen.3. Security module according to claim 1, characterized in that the microprocessor ( 120 ) is programmed to perform an overlapping processing of at least part of the range of functions used for subsequent validation in the event of dynamic changes in the system state.

4. Sicherheitsmodul nach Anspruch 1, gekennzeichnet da durch, daß der Mikroprozessor (120) programmiert ist, bei dynamischen Änderungen des Systemzustands eine überlappende Verarbeitung von mindestens einem Teil des verwendeten Prüfpattern zur anschließenden Validierung durchzuführen. 4. Security module according to claim 1, characterized in that the microprocessor ( 120 ) is programmed to perform an overlapping processing of at least part of the test pattern used for subsequent validation in the event of dynamic changes in the system state.

5. Sicherheitsmodul nach Anspruch 1, gekennzeichnet da durch, daß der Mikroprozessor (120) programmiert ist, bei dynamischen Änderungen des Systemzustands eine überlappenden Verarbeitung von mindestens Teilen des verwendeten Prüfpattern, Funktionsumfanges oder Speicherbereiches in Kombination miteinander zur anschließenden Validierung durchzuführen.5. Security module according to claim 1, characterized in that the microprocessor ( 120 ) is programmed to perform an overlapping processing of at least parts of the test pattern, functional scope or memory area in combination with one another for subsequent validation in the event of dynamic changes in the system state.

6. Sicherheitsmodul nach einem der Ansprüche 1 bis 5, gekenn zeichnet dadurch, daß der Mikroprozessor (120) programmiert ist, die Validierung des Systemzustands mehrfach in Zwischenschritten durchzuführen.6. Security module according to one of claims 1 to 5, characterized in that the microprocessor ( 120 ) is programmed to carry out the validation of the system state several times in intermediate steps.

7. Sicherheitsmodul nach Anspruch 1, gekennzeichnet da durch, daß der Mikroprozessor (120) programmiert ist, den statischen Systemzustand wiederholend mit einem statischen Selbsttest zu überprüfen.7. Security module according to claim 1, characterized in that the microprocessor ( 120 ) is programmed to repeatedly check the static system status with a static self-test.

8. Sicherheitsmodul nach Anspruch 1, gekennzeichnet da durch, daß der Mikroprozessor (120) zur Signalisierung des Modulzustandes ein Signalmittel (107, 108) ansteuert, welches ein Bestandteil des Sicherheitsmoduls ist und durch das Vergußmaterial (105) einer Leiterplatte (106) hindurchragt und daß ein umgebendes Sicherheitsgehäuse zur Signalisierung des Modulzustandes eine Öffnung (109) aufweist.8. Security module according to claim 1, characterized in that the microprocessor ( 120 ) for signaling the module state controls a signaling means ( 107 , 108 ) which is part of the security module and projects through the potting material ( 105 ) of a printed circuit board ( 106 ) and that a surrounding security housing for signaling the module status has an opening ( 109 ).

9. Sicherheitsmodul nach Anspruch 8, gekennzeichnet da durch, daß sich die Öffnung (109) zur Bedienoberfläche (88, 89) eines Meters (1) erstreckt und daß die Abmaße bzw. der Durchmesser der Öffnung in der Größenordnung des Signalmittels liegt. 9. Security module according to claim 8, characterized in that the opening ( 109 ) extends to the user interface ( 88 , 89 ) of a meter ( 1 ) and that the dimensions or the diameter of the opening is of the order of the signaling means.

10. Sicherheitsmodul nach einem der Ansprüche 8 bis 9, gekenn zeichnet dadurch, daß das Signalmittel als Anzeigeeinheit realisiert ist.10. Security module according to one of claims 8 to 9, characterized characterized in that the signal means as a display unit is realized.

11. Sicherheitsmodul nach Anspruch 10, gekennzeichnet da durch, daß die Anzeigeeinheit eine oder mehrere oder mehrfarbige Leuchtdioden (LED's) einschließt.11. Security module according to claim 10, characterized there that the display unit one or more or multi-colored Includes light emitting diodes (LED's).

12. Verfahren zur Überwachung der Systemsicherheit mittels einem Sicherheitsmodul, gekennzeichnet dadurch, daß der Aufbau des Sicherheitsverfahrens eine zweistufige Prüfung mit Validierung des Systemzustandes vorsieht, wobei grundsätzlich zwischen statischen und dynamischen Zuständen des Systems unterschieden wird und wobei eine überlappende Verarbeitung von Daten beim dynamischen Selbsttest erfolgt, bei dem durch einen Patternvergleich eines definierbaren Speicherbereichs die Integrität des Systems zeitlich wiederholend überprüft wird.12. Procedure for monitoring system security using a Security module, characterized in that the structure the security procedure, a two - stage test with validation of the System state provides, whereby basically between static and dynamic states of the system is distinguished and where an overlapping processing of data in the dynamic self-test in which a definable Memory area repeating the integrity of the system over time is checked.

13. Verfahren nach Anspruch 12, gekennzeichnet dadurch, daß die Validierung des Systemzustands bei dynamischen Änderungen aus der überlappenden Verarbeitung von mindestens einem Teil des verwendeten Speicherbereiches besteht.13. The method according to claim 12, characterized in that that the validation of the system state with dynamic changes from the overlapping processing of at least part of the used storage area exists.

14. Verfahren nach Anspruch 12, gekennzeichnet dadurch, daß die Validierung des Systemzustands bei dynamischen Änderungen aus der überlappenden Verarbeitung von mindestens einem Teil des verwendeten Funktionsumfanges besteht. 14. The method according to claim 12, characterized in that that the validation of the system state with dynamic changes from the overlapping processing of at least part of the range of functions used exists.

15. Verfahren nach Anspruch 12, gekennzeichnet dadurch, daß die Validierung des Systemzustands bei dynamischen Änderungen aus der überlappenden Verarbeitung von mindestens einem Teil des verwendeten Prüfpattern besteht.15. The method according to claim 12, characterized in that that the validation of the system state with dynamic changes from the overlapping processing of at least part of the used test pattern exists.

16. Verfahren nach Anspruch 12, gekennzeichnet dadurch, daß die Validierung des Systemzustands bei dynamischen Änderungen aus der überlappenden Verarbeitung von mindestens Teilen des verwendeten Prüfpattern, Funktionsumfanges oder Speicherbereiches in Kombination miteinander besteht.16. The method according to claim 12, characterized in that that the validation of the system state with dynamic changes from the overlapping processing of at least parts of the used test pattern, range of functions or memory area in Combination with each other.

17. Verfahren nach Anspruch 12, gekennzeichnet dadurch, daß die Validierung des Systemzustands mehrfach in Zwischenschritten erfolgt.17. The method according to claim 12, characterized in that that the validation of the system state several times in intermediate steps he follows.

18. Verfahren nach Anspruch 12, gekennzeichnet dadurch, daß im Ergebnis der Prüfung eine Signalisierung des Modulzustandes aktiviert wird, wenn die Versorgung des Sicherheitsmoduls mit Systemspannung gewährleistet ist.18. The method according to claim 12, characterized in that that the result of the test is a signaling of the module status is activated when the supply of the safety module with System voltage is guaranteed.

19. Verfahren nach Anspruch 18, gekennzeichnet dadurch, daß die Leuchtdioden LED's zur Zustandsunterscheidung blinkend gesteuert werden.19. The method according to claim 18, characterized in that that the light-emitting diodes are blinking to distinguish the status to be controlled.